Compliance ist schon lange nicht mehr ausschließlich für Großkonzerne und deren Geschäftsleiter relevant. Die Rechtsprechung der vergangenen Jahre zeigt, dass auch Complianceverstöße in kleinen und mittleren Unternehmen (KMU) regelmäßig zu Haftungsfallen für die Leitungsorgane werden können, sofern diese keine – für das jeweilige Unternehmen angemessene, risikobezogene und funktionierende – Compliance-Management-Strukturen implementiert haben und es daher zu Rechtsverstößen sowie Schäden bei der Gesellschaft kommt.
Business Judgement Rule als Grundlage unternehmerischer Entscheidungen
Um solchen Haftungsfallen vorzubeugen und um dem Vorwurf pflichtwidrigen Verhaltens effektiv begegnen zu können, müssen Geschäftsleiter, Aufsichtsorgane sowie leitende Angestellte die Einhaltung eines umfassenden Bündels an Überwachungs-, Treue- und Legalitätspflichten nachweisen können.
Die im Aktiengesetz normierte „Business Judgement Rule“ gibt dabei die Maßstäbe pflichtgemäßen Verhaltens und somit Enthaftungsmöglichkeiten für die durch diese Pflichten geschaffenen Haftungsrisiken – mit Ausnahme der von Gesetzes wegen zwingend einzuhaltenden Legalitätspflichten – zugunsten der Leitungsorgane: So haften Geschäftsleiter dann nicht, wenn sie im Rahmen von unternehmerischen Entscheidungen – und damit fernab der gesetzlichen Legalitätspflichten – (i) gutgläubig, (ii) ohne Sonderinteresse oder sachfremde Einflüsse, (iii) zum Wohle der Gesellschaft und (iv) auf Grundlage angemessener Informationen gehandelt haben.
Der Begriff der unternehmerischen Entscheidung lässt sich nur abstrakt umschreiben. Der Gesetzgeber gibt insoweit nur Anhaltspunkte, indem er ausführt, dass unternehmerische Entscheidungen infolge ihrer Zukunftsbezogenheit durch Prognosen und nicht justitiable Einschätzungen geprägt sind. Unternehmerische Entscheidungen enthalten daher immer ein gewisses Risiko, ohne das eine unternehmerische Tätigkeit nicht möglich wäre. Weiter wird der Begriff umschrieben als Entscheidungen, denen ein gewisses Risiko innewohnt beziehungsweise die unter Unsicherheit getroffen werden. Angelehnt an die Erkenntnisse der Betriebswirtschaftslehre, kann eine unternehmerische Entscheidung auch als bewusste Auswahl einer unternehmerischen Handlungsmöglichkeit von besonderer wirtschaftlicher Tragweite aus mehreren Alternativen verstanden werden, wobei sich diese Tragweite entweder aus dem Umfang oder Risiko für die Vermögens- oder Ertragslage des Unternehmens ergeben kann oder aus deren prägender Beeinflussung der zukünftigen Gesamtentwicklung des Unternehmens.
Für eine korrekte Auslegung der einzelnen Vorgaben der Business Judgement Rule bedarf es juristischer Expertise. Neben der Beachtung dieser Grundsätze muss zudem auf eine möglichst stringente wie exakte Dokumentation der Entscheidungsgrundlagen geachtet werden, um im Streitfall die korrekte Befolgung der Business Judgement Rule belegen zu können, da aufgrund einer bestehenden Beweislastumkehr das betroffene Organ sein pflichtgemäßes Verhalten nachzuweisen hat.
Enthaftung über umfangreiche Compliance-Management-Struktur
Neben der Befolgung der Business Judgement Rule ist eine umfangreiche Compliance-Management-Struktur zur Sicherstellung pflichtgemäßen Verhaltens unerlässlich. Sie bezeugt das Bemühen der Geschäftsleiter, Aufsichtsorgane und – in abgeschwächter Form – der leitenden Angestellten um eine regelkonforme Unternehmensführung.
Bei der Entscheidung über die Implementierung eines Compliance-Management-Systems („CMS“) haben Geschäftsleiter (als unternehmerische Entscheidung) einen umfangreichen Ermessensspielraum, der jedoch zur Gewährleistung eines Mindeststandards in Bezug auf die eigene Regeltreue reduziert sein kann. Dies ist insbesondere bei solchen Unternehmen der Fall, die ein hohes Risiko- und Haftungspotential schaffen, indem sie neben einem beträchtlichen Mitarbeiterstamm auch internationale Aktivitäten in mitunter für Complianceverstöße sensiblen Regionen oder Tätigkeitsschwerpunkten pflegen. Ist einmal bei der Gesellschaft ein Schaden (zum Beispiel durch eine Unternehmensgeldbuße oder Schadenersatzzahlungen) eingetreten, stellt sich im zweiten Schritt die Frage, ob dieser Schaden durch pflichtgemäßes Handeln der Geschäftsleiter vermeidbar gewesen wäre und ob diese sodann gegenüber der Gesellschaft im Innenverhältnis dafür einzustehen haben.
Die damit – häufig schon bei leichter Fahrlässigkeit – bestehenden (persönlichen) Haftungsrisiken für Geschäftsleiter können durch ein geeignetes CMS auf ein Minimum reduziert werden.
Individuelle Ausgestaltung eines Compliance-Management-Systems für jedes Unternehmen
Ein CMS muss immer individuell auf das jeweilige Unternehmen angepasst werden: So spielen in diesem Zusammenhang individuelle Risiken (wie etwa das Branchen- oder Betätigungsumfeld) wie auch die unternehmerische Ausrichtung und Zielsetzung eine wichtige Rolle, um ein ausreichendes Maß an Überwachung gewährleisten zu können. Weiterhin bedarf es eines sinnvollen Organisationssystems, welches ebenfalls auf das Unternehmen abgestimmt sein muss und im Nachgang der Implementierung der ständigen (Über-)Prüfung und Adaption bedarf.
Ein starres Überstülpen von vorgefertigten Compliancekonzepten auf Unternehmen ist somit aufgrund der differenzierten Anforderungen – bedingt durch die individuellen unternehmerischen Ziele – nicht darstellbar. Zumindest im Ansatz jedoch weisen CMS oft ähnliche Grundstrukturen und Vorgehensweisen auf. So wird nach einer ersten Analyse zur Herausarbeitung individueller Risiken im Wege einer Due Diligence nebst Überprüfung gegebenenfalls vorhandener Maßnahmen zum compliancekonformen Verhalten ein CMS konzipiert, das nach der Implementierung einer stetigen Überwachung und Anpassung bedarf, um eine unternehmensspezifische Anpassung gewährleisten zu können.
OLG Nürnberg (2022): Geschäftsführer haftet wegen unzureichendem CMS für durch Mitarbeiter verursachte Schäden
In einem aufsehenerregenden Urteil des Oberlandesgerichts (OLG) Nürnberg vom 30.03.2022 (12 U 1520/19) stellte das Gericht eine Pflichtverletzung des beklagten Geschäftsführers fest, weil dieser es unterlassen hatte, im Rahmen der internen Unternehmensorganisation der Klägerin Compliancestrukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern. Im konkreten Fall hatte ein Mitarbeiter der klagenden Tankstellengesellschaft die eigentlich einzuhaltenden Tankkartenlimits der Kunden nicht berücksichtigt, was in der Folge zu Schäden bei der Gesellschaft führte. Dies versuchte der betreffende Mitarbeiter zu verschleiern.
Nach den Feststellungen des Gerichts sei der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen könne; er müsse vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen. Zwar hafte der Geschäftsführer nicht für fremdes Verschulden. Eine Pflichtverletzung liege jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung beziehungsweise Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert würden. Diesbezüglichen Verdachtsmomenten müsse der Geschäftsführer unverzüglich nachgehen; weiterhin müsse der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten.
Directors-and-Officers-Versicherung (D&O) ist kein Allheilmittel
Eine für die Geschäftsleiter durch das Unternehmen abgeschlossene D&O-Versicherung (auch Organ- oder Managerhaftpflichtversicherung) befreit entgegen landläufiger Meinung nicht von allen persönlichen Haftungsrisiken und taugt nur bedingt als „Beruhigungsmittel“ für Führungskräfte. In der Praxis wehren sich die entsprechenden Versicherungen regelmäßig dagegen, anfallende Schäden zu regulieren.
Oftmals ist auch fraglich, ob die Deckungssumme der abgeschlossenen D&O-Versicherung überhaupt ausreicht, um potentielle Risiken und Schäden abzudecken. Alle über diese Versicherungssumme hinausgehenden Beträge bleiben dann (neben der zwingenden Selbstbeteiligung) an den betreffenden Personen persönlich hängen.
Der Abschluss einer D&O-Versicherung und die damit einhergehenden Details sind daher nicht auf die leichte Schulter zu nehmen. Es ist ratsam, sich als potentiell betroffener Geschäftsleiter sowie als Aufsichtsperson oder leitender Angestellter darüber zu informieren, ob und inwieweit eine solche Versicherung vorhanden ist und ob sie alle Risiken sowie sämtliche möglicherweise betroffenen Personen vollumfänglich berücksichtigt.
Funktionierende CMS dienen auch der Reputation
Funktionierende Compliance-Management-Strukturen dienen neben der persönlichen Enthaftung von Geschäftsleitern aber den betreffenden Unternehmen auch dazu, Reputationsschäden langfristig effektiv zu vermeiden und nicht zuletzt Transaktionsprozesse bedeutend transparenter und für die beteiligten Leitungsorgane rechtssicherer gestalten zu können.
Die Implementierung, Funktionssicherheit und Adaption von Compliance-Management-Strukturen werden auch seitens Rechtsprechung sowie Behörden vorausgesetzt.
Urteile wie das des OLG Nürnberg aus 2022 zeigen, dass sich auch Geschäftsleiter von kleineren und mittleren Unternehmen eindringlich mit der Frage beschäftigen müssen, ob ausreichende Maßnahmen zum Schutz von Mitarbeitern oder Kunden umgesetzt wurden. In Anbetracht von sowohl persönlichen als auch unternehmensbezogenen negativen Auswirkungen wird deutlich, dass ein Festhalten an alten Glaubenssätzen wie „Das haben wir schon immer so gemacht“, wie man es in der Praxis des Öfteren hört, nicht mehr funktioniert.
Autor
Philipp J. Barring
Seitz, München
Rechtsanwalt, Counsel
Autor
Dr. Constantin Goette
Seitz, München
Rechtsanwalt, Partner